OPM洩漏事故報告：矛頭直指領導對資料丟失無作為

不久前美國國會眾議院監管和政府改革委員會完成了對OPM洩露事故的調查，雖然該調查報告有200多頁，但專家稱其中缺少詳細細節。

該報告描繪了一幅嚴峻的畫面。

“現在美國政府比以往任何時候都更容易受到網路攻擊，沒有哪個機構是安全的。在最近的資料洩露事故中，攻擊者已從多個機構竊取資訊：美國郵政服務；國務院；美國核管理委員會；國稅局甚至白宮，”該報告指出，“但這些資料洩露事故的嚴重性都無法趕超美國人事管理辦公室（OPM）的資料洩露事故。”

OPM的資料洩露事故在2015年6月為大家所知，該報告稱這起事故導致“420萬前任和現任政府僱員的個人資訊以及2150萬個人的安全檢查背景調查資料洩露”，還有560萬人的指紋資料洩露。

該報告指出，這麼多資料的丟失“讓人們深感不安，人民需要政府提供更好的保護”。

“背景調查資訊和指紋資料丟失將會在相當長一段時間影響反間諜工作，”該報告指出，“背景資訊對外國政府的情報和反情報價值不能被誇大，但也無從知曉。”

Securonix公司首席資訊保安官兼首席安全戰略家Michael Lipinski表示，這份報告缺乏對受影響個人資料丟失的風險分析。

“單是丟失的指紋資料就給政府及私人機構帶來巨大的潛在風險，”Lipinski稱，“這些指紋在‘野外’的存在是否會破壞日常法庭案件中指紋識別的有效性？擁有這些資料的國家行為者將能夠創造出非常複雜、非常有針對性的網路釣魚活動。我認為這些資料丟失帶來的潛在影響並沒有很好地傳達給公眾。”

Ntrepid公司執行長Richard Helms稱，在OPM資料洩露事故後向受影響個人提供了數月的監控服務並不足夠。

“這份報告缺失的部分是沒有討論這個事實：這次資料洩露事故不是銷售點信用卡資料失竊；而是外國政府對我們國家安全部門人員的攻擊，以進一步提高其情報收集。作為響應，花費在信用監控的數百萬美元毫無意義，”Helms稱，“國家安全社群需要擴大其安全外圍以涵蓋員工的網上活動。這些攻擊者的後續收集工作或攻擊很可能通過這些員工和家庭的網際網路瀏覽器，這是最有效的手段。對上網活動的保護比無效的信用監控會少花很多錢。”

該報告提供了對這次攻擊的詳細時間表，並報告稱，第一個攻擊者（在該報告中被稱為黑客X1）在2012年7月獲得OPM網路訪問許可權。在2014年3月20日，US-CERT通知OPM其網路資料洩露。與此同時，US-CERT決定監控攻擊者以收集反間諜情報，並計劃在必要時關閉入侵系統以擺脫攻擊者。

然而，在5月7日，另一個攻擊者（黑客X2）利用從承包商竊取的登入憑證來安裝惡意軟體及後門程式在OPM的網路建立了立足點，OPM並沒有發現第二個攻擊者，而是在積極監控第一個攻擊者。

“隨著該機構在整個網路監控黑客X1的活動，他們注意到X1正危險地接近安全檢查背景資訊，”該報告寫道，“該機構有信心在2014年5月底通過計劃好的整治行動來消除X1的立足點。但黑客X2仍然在OPM的系統中，他已經成功建立立足點，並因為OPM的IT安全問題而沒有被發現。”

根據該報告指出，OPM的安全缺口相當廣泛。OPM監察長（IG）自2005年以來就一直在警告網路安全缺陷，但該報告稱“沒有有效的管理結構來部署可靠的IT安全政策”意味著根本問題依然存在。並且，管理和預算辦公室在2015年IT安全報告稱，OPM是擁有“最薄弱身份驗證配置”的機構之一。

該報告寫道：“如果OPM在第一次知道攻擊者在針對這些敏感資料時部署基本所需的安全控制，並更迅速地部署更先進的安全工具，他們可能會顯著推遲、阻止或有效緩解這種資料盜竊活動。重要的是，如果OPM關鍵IT系統中敏感資料的安全性被優先處理和得到保護的話，這種損害也可以得到緩解。”

Securonix公司首席科學家Igor Baikalov表示，這表明OPM洩露事故並非由於技術問題。

“審計結果表明，這是由於系統模式的疏忽以及完全無視資訊保安原則和做法。自2007年以來，OIG多次報告OPM安全管理不足以及管理不善是眾多安全問題的根本原因，”Baikalov稱，“任何資訊保安計劃都是從標準、政策和程式開始，而在OPM並沒有這些，這與他們過時的系統或者他們已經部署的技術無關。”

OPM代理主任Beth Cobert在OPM辦公室主任Katherine Archuleta辭職後接手OPM，他在部落格文章中稱這份報告“沒有充分反映該機構現在的情況”。

“雖然我們對該報告的很多方面都不同意，但我們很高興看到委員會認可OPM對網路安全入侵的迅速反映，以及確認我們在加強網路安全政策和流程方面取得的進展。我們也很欣然看到該委員會願意與我們合作來確認這些重要問題，並找到很多對OPM以及聯邦政府有用的最終建議，”Cobert寫道，“在過去一年中，OPM與政府的合作伙伴加強合作，顯著提高了我們的網路安全態勢，並對保護資料以及完成我們核心任務的能力重新建立了信心。”

Cobert接著詳細介紹了該機構為提高安全和問責制採取的詳細步驟，包括部署多因素身份驗證、美國國土安全部（DHS）和DHS的Einstein 3a開發的持續診斷和緩解程式，以及持續重新構建和加強背景調查使用的web應用系統。Cobert指出的其他舉措包括加強現有系統，同時現代化IT基礎設施以及與國防部合作，國防部“正在設計、構建新的國家背景調查局，並將為其運作IT基礎設施，這個基於OPM的實體將在未來為聯邦政府執行背景調查。”

該報告還指出如果該機構部署了多因素身份驗證，OPM資料洩露事故不會發生，專家表示同意。

“部署多因素身份驗證是一個很好的建議，但這是每個人都應該採用的基準做法。當攻擊者控制桌面後，他們仍然能利用登入憑證，”Ntrepid公司首席科學家Lance Cottrell表示，“這好像在說企業應該修復其軟體以及保持良好的備份--這些是完全通用的入門級意見，他們對處理敏感政府資訊的機構給出這樣的建議多少有些令人震驚。”

Bomgar公司安全產品管理主管Sam Elliott表示這種建議可以更進一步。

“我很高興看到該報告提出了這一建議，但我還想建議部署強大的密碼管理政策，其中包括經常性輪換特權憑證，以及部署技術來控制、方便和監控對敏感基礎設施的直接訪問，”Elliot稱，“這樣的話，當攻擊者使用竊取的登入憑證試圖在環境中獲得立足點時，他們將面臨顯著挑戰。攻擊者將無法使用傳統機制來訪問目標，最後還有MFA，即使他們能夠接近目標，標準身份驗證也會讓他們無法獲取目標。”

Lipinski稱對使用MFA的建議雖然很重要，但嚴重忽略了遺留問題。

“這是人、流程和技術的問題。首先，沒有管理級別人員負責監控安全，這落在CIO身上，而CIO並不是安全專業人員，人員因素直接導致了流程問題，”Lipinski表示，“該報告的結論是，還需要額外的人才。糟糕的日誌記錄、工具不足、缺乏內部反攻擊能力、無漏洞管理、無滲透測試以及事故響應活動都是嚴重問題。”

Lipinski補充說：“這是每個層面、人員、流程、技術和管理的失敗。我看到的不是持續改進，而是‘這不是我的錯，因為我們的裝置很舊’的藉口。政府本身甚至沒有達到他們給私營部門設定的最低水平標準。缺乏基本控制、缺乏政策或流程、缺乏事件響應能力以及缺乏高管管理資料保護，這些都是需要解決的問題，才能防止另一起資料洩露事故的發生。”

本文轉自d1net（轉載）